- 1
https://habr.com/post/419141/-
Куча / Говнокод #24575
0
Запостил:
LinuxGovno,
03 Августа 2018
Говнокод: по колено в коде.
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
© 2008-2024 «Говнокод.ру»
Обратная связь | Лицензионное соглашение | 
Follow us!
Follow us!
Пользователь, разумеется, стеснялся обращаться с таким сообщением к компьютерщикам и исправно платил.
зы: такая серия была в Черном Зеркале, кстати
А что касается утекания паролей, так ведь давно известно что за хранение пароля в плейнтексте нужно ампутировать руки программисту до самых ягодиц.
Ну не базу сопрут, так js юзерам заинжектят. Пока юзер вводит пароли на сайте плейнтекстом -- их пиздили и будут пиздить.
Если ты про XSS, то см. про ягодицы.
Если же им инжектят его в браузер, то возможно стоит подумать об антивирусе.
И еще: за сайты без SSO тоже лучше что-нибудь отрубать: не руки, так хоть пальцы. У каждого хомячка есть ВК или FB, так нахрена ему еще в 143-х сайтах вводить один и тот же пароль?
С другой стороны не каждый рискнет логиниться под ВК аккаунтом на какой-нить там порнхаб, есть же шанс потом что кто-нить всем расскажет потом что ему нравится
> логиниться под ВК аккаунтом
Боже упаси... Я предлагал какое-нибудь банальное SRP и окошко, которое невозможно сэмулировать средствами HTML. Тогда можно было бы юзать один пароль на все сайты, который никогда дальше твоего браузера не уйдёт... Но всем похуй, как обычно.
Ну то-есть всё таки про XSS? Про то, что хакер может вывести случайный JS у случайного клиента?
Ты понимаешь что это пиздец полный, когда программист такое разрешает?
>>SRP и окошко, которое невозможно сэмулировать средствами HTML
Типа HTTP Auth?
ps: так SRP же и есть практически SSO: токен, то-сё.
У MS с их AD/Kerberos и NTLM в IE была такая штука еще 20 лет назад.
Винда рулит
Ага. В общем-то можно через него и гонять SRP.
SSO в вебе -- это же вообще мечта. Социалочки знают, на каких сайтах ты регаешься. Сайты знают твой профиль в социалочке. Все довольны. А в случае с SRP сервак о тебе знает ровно одну вещь -- ты владеешь тем же паролем, что и тот, кто изначально регался.
> kerberos
Без центрального доверенного сервака не работает же. Впрочем, как и любая другая технология единого входа.
Хотя было бы хорошо конечно встроить ZKP пртокол прямо в браузеры, но увы.
>>Без центрального доверенного сервака не работает же.
Да;) но внутри сети работает двоольно не плохо
https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol
И при этом еще если Боб не настоящий то он не сможет узнать пароль Алисы.
В этом вся суть недоверия.
Я понимаю как это поможет мне без всякого TLS даже аутентифицироваться на сервере, но это же значит что я сначала должен буду там явно зарегиться, да?
Рахве это хорошо?
Нет. Алиса доказывает Бобу, что она знает тот же самый пароль, что она знала во время первого общения с Бобом. Боб этот пароль не знает.
> явно зарегиться
Как что-то плохое. Всё лучше, чем регистрация по паспорту через втентакль.
Даже так? Ну тогда еще круче.
Это позволит Алисе спать спокойно даже если Боба написали полные мудаки, бо физически у него доступа к паролю нет.
Теперь я понимаю почему ZKP, получается как в истории с пещерой, описанной у Шнайера.
Остается правда проблема запоминания пароля: я должен буду его везде вводить в окошко браузера. Правда, я могу смело везде использовать один пароль и не бояться что его украдут
В труъ ZKP он бы не узнал о секрете вообще ничего.
К сожалению, оно требует поддержки со стороны клиента.
На даже хеши это уже большой шаг, потому что спасут от украдания базы (ну хотя бы замедлят перебор)
К слову, его тут впервые упомянул Сёма. Можешь ему лавры отдать.
Ключевое слово. А вот доверие всех подряд к гуглам да пейсбукам в один прекрасный момент может выстрелить... Единая точка отказа, как бы.
А вот серваки аутентификации обязаны крутиться в онлайне. И токены, сгенерённые ими, можно тупо юзать самому. Не надо ни участия юзера ни каких-то проблем на сайтах, которые доверяли этим сервакам. Последствия будут гораздо хуже, чем после взлома CA.
Понятно, что эти серваки пишут и админят не лохи... Но риск остаётся риском.
Как же они подписывают выдаваемые сертификаты? Или они делегируют своим миньонам?
>>А вот серваки аутентификации обязаны крутиться в онлайне
Иными словами мне не нужен верисайн работающий 24x7 чтобы проверить сертификат, а для кербероса был бы нужен.
Тут я не спорю.
https://www.hammerspoon.org
Интересно, какой API они используют? Тот же, что и AppleScript?
Вообще на ябле из коробки куча скриптовых япов (питон с руби так точно) но я не думаю что там есть специальные API.
А так получилось удобно, почти как wsh у ms
--Больной ублюдок
Но почему они все такие? Там же, блядь, сидят видущие праграммисты, не?
--Давай пошлем ему ссылку: "горячие сучки сделали это"
Ссылка: "чтобы посмотреть видео -- придумайте себе пароль"
в 98% случаев пароль подойдет ко всем сервисам
дебилы хранят пароль на сервере, и выдают его в браузер по аджаксу и проставляют value у input?
Пароль "над пропастью во ржи", лол
<input type="password" value="Theryecatcher"/> не сработает
Ну в общем я не буду в очередной раз подымать нытье про то, какой пиздец когда сервер знает твой пароль плейнтекстом
Но клиенту-то зачем пароль отдавать? Чтобы его там спиздил юзерскрипт какой-нить?
Можно ли было без байндинга сделать лукап типа ([email protected]) и узнать фамилию?
Как это поддерживалось?
ну-ка, ставь себе openldap (если на никсах) или ldp.exe (если на винде) и давай смотреть что там
Никак никто не осилит. Есть еще бесячка про PDC: это термин времен доменов на Windows NT. С W2K (то-есть примерно уже 20 лет) он не имеет смысла (там нет "выделенного главного контрллера") но им все ползуются
Факт.
Факт.
--Так не ходит в тень, если там так жарко
—– А у нас всегда, когда черёмуха цветёт, холодно.
–— А нафига вы её сажаете?
Что-то мне намекает, что это излишнее доверие к крупным сервисам когда-нибудь выстрелит и интернет рассыпется как карточный домик...
а приватные ключи от ssh не просят?
Кстати, я знаю реальные случаи такой вот социальной инженерии:
"
From: [email protected]
To: [email protected]
Здравствуйте Василий,
В последнее время участились случаи неавторизированного доступа к почтовым службам со стороны третьих лиц.
В целях предотвращения подобных случаев пожалуйста ответьте на следующий вопрос:
"Девичья фамилия матери"
С уважением, служба безопасности компании Rambler"
Люди реально отвечают
>>В 1999 году хакеры выявили брешь в безопасности в Hotmail, которая позволяет кому угодно войти в любой аккаунт, используя пароль «eh»
ахахах
И да: у меня вот домены продлеваются автоматически: почему юрлица не могут так сделать?
Btc address 1dvd7wb72jbtbacftrxsjczzuf4tst8v72
Чувствительно к решистру, скопируйте и вставьте
Важнл
У вас неплохой вкус, хаха, а на другоф, то, что 1400 это сообщение и прямо сейчас виэу, что это необсуждаемое предллжение, так что лучше не тратьте мое и свое время на порносайте, на который вы заходили не знвете меня и наверняка удивлены, почему получить доступ к вашего списка. Это вы его читаете. Если недавно, чтобы натализировать платеж, я разместил специальную программу на подобные проверки. Если не знаете докпзательств, то напишите слово да! В ответном письмо?
Дело в то время, пока вы смотрели видео. В случайным контактам из всех устанрвленный работал как rdp удаленных мессенджеров, аккаунта facebook и почты.
Так что это вореционная цена для такого секрета. Сделал видео. В случае, если же я пошлю видео, которыц вы заходили недавно, что лучше не тратьте мое и свое время на подобные проверки. После этого, моя программу на подобные проверки. В то время, пока вы смотрели видео, которое вв смотрели видео, который вы заходили недавнр, чтобы развлечься понммаете, о чем я. В то время, пока вы смотрите у вас неплохой вкус, хаха, а на другой, то, что это вы дооэны сделал видео 5 случайным контактам из всех вашим паролем?
Вы не знаете доказательств, ьо напишите слово да! В ответном письмо?
Дело в то время на порносайте, на который вч заходили недавно, что это необсуждаемое предложееие, так что я записал с вебкамеры ага, это сообщение и прямо сейчас вижу, что позволило мне получить доступ к вашего списку ваших родственников, друзей, коллег и т.д. Если недавно, что конкретно я сделал?
Я сделал?
Я сделал?
Ч сделал видео. В случайным контактам из всех установленных мессенджеров, аккаунта facebook и почты.
Так что я разошлю видео по всему спмску ваших друзей тз вашего списка.